Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

MPC cleaner na win10, safefinder, nie da się go usunąć

razorg 10 Maj 2016 23:29 948 6
  • #1 10 Maj 2016 23:29
    razorg
    Poziom 2  

    Witam!

    Zainfekowałem sobie komputer wspomnianym w temacie MPC cleaner. Przeglądarka jest zawalona wyszukiwarką safefinder, MPC cleaner ma chińskie znaczki zamiast menu, oczywiście nie da się go usunąć z poziomu opcji "Programy i funkcje". Przejrzałem pokrewne tematy i wnioskuję, że naprawa Farbarem jest możliwa ale stworzenie pliku txt z poleceniami jest inne dla każdego systemu dlatego pozwoliłem sobie założyć nowy temat. Adwcleaner nie dał rady. Załączam logi z farbara.

    Zmieniłem sposób zamieszczenia plików.
    RADU23

    0 6
  • Pomocny post
    #2 11 Maj 2016 06:18
    krzychupar
    Poziom 40  

    Jeżeli SafeFinder jesst w Programy i funkcje to odinstaluj go.
    Otwórz notatnik i wklej:
    CloseProcess:
    Task: {EA9393FE-C08F-40C0-BBAA-EA9C90D490F5} - System32\Tasks\{7AF44EFC-242D-4BE1-9FFD-30D1C03FEB56} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Hotjob\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Hotjob\uninstall.dat" -a uninstallme 990F7773-9B82-4910-A50E-D216115FE88F DeviceId=4ddbacec-f735-1570-fd8f-98a2f5c14629 BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    Hosts:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe
    HKLM-x32\...\Run: [ic-0.0034e6d7efe0c4] => C:\Users\DOMYLN~1\AppData\Local\Temp\107455296\ic-0.0034e6d7efe0c4 <===== UWAGA
    HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun
    HKLM-x32\...\Run: [PCFIXTRAYBCDCB] => c:\pcfiXtrayudtaj.lnk [2179 2016-05-10] ()
    AppInit_DLLs: C:\ProgramData\Quoteex\RedTanron.dll => Brak pliku
    AppInit_DLLs-x32: C:\ProgramData\Quoteex\Nim-Light.dll => C:\ProgramData\Quoteex\Nim-Light.dll [257536 2016-05-10] ()
    IFEO\SppExtComObj.exe: [Debugger] SppExtComObjPatcher.exe
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll Brak pliku
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838
    HKU\S-1-5-21-1117912920-1558325045-154220965-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...sN5SBFFFvpgI6QMw_HvWT-K50RAOUJntgnmA,,&q={searchTerms}
    HKU\S-1-5-21-1117912920-1558325045-154220965-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838
    HKU\S-1-5-21-1117912920-1558325045-154220965-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...sN5SBFFFvpgI6QMw_HvWT-K50RAOUJntgnmA,,&q={searchTerms}




    HKU\S-1-5-21-1117912920-1558325045-154220965-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...sN5SBFFFvpgI6QMw_HvWT-K50RAOUJntgnmA,,&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-1117912920-1558325045-154220965-1001 -> DefaultScope {ielnksrch} URL =
    BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat => Brak pliku
    FF NewTab: C:\\ProgramData\\Quoteexs\\ff.NT
    FF Homepage: C:\\ProgramData\\Quoteexs\\ff.HP
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-10] (DotC United Inc)
    S2 QQRepair2396; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair2396" [X]
    S2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-10] (DotC United Inc)
    S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [172664 2016-05-10] ()
    S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [X]
    2016-05-10 23:05 - 2016-05-10 23:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-05-10 23:04 - 2016-05-10 23:04 - 00012856 ____N C:\bootsqm.dat
    2016-05-10 22:20 - 2016-05-10 23:05 - 00001798 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-05-10 22:19 - 2016-05-10 22:19 - 00000000 ____D C:\ProgramData\TXQMPC
    2016-05-10 22:16 - 2016-05-10 22:19 - 00000000 ____D C:\AdwCleaner
    2016-05-10 22:03 - 2016-05-10 22:20 - 00000000 ____D C:\Users\Domyślny\AppData\Roaming\Tencent
    2016-05-10 22:03 - 2016-05-10 22:20 - 00000000 ____D C:\ProgramData\Tencent
    2016-05-10 22:03 - 2016-05-10 22:03 - 00143992 _____ (Tencent Technology(Shenzhen) Company Limited) C:\Windows\system32\Drivers\TAOKernelEx64.sys
    2016-05-10 22:03 - 2016-05-10 22:03 - 00097400 ____N (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
    2016-05-10 22:03 - 2016-05-10 22:03 - 00000000 ____D C:\Users\Domy渓ny\AppData\Roaming\Tencent
    2016-05-10 22:03 - 2016-05-10 22:03 - 00000000 ____D C:\Users\Domy渓ny
    2016-05-10 22:03 - 2016-05-10 22:03 - 00000000 ____D C:\Program Files (x86)\Tencent
    2016-05-10 22:02 - 2016-05-10 22:11 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-05-10 22:02 - 2016-05-10 22:03 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-05-10 22:02 - 2016-05-10 22:02 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
    2016-05-10 22:02 - 2016-05-10 22:02 - 00000000 ____D C:\Users\Domyślny\AppData\Roaming\gplyra
    2016-05-10 22:02 - 2016-05-10 22:02 - 00000000 ____D C:\ProgramData\Thunder Network
    2016-05-10 22:02 - 2016-05-10 22:02 - 00000000 ____D C:\ProgramData\Quoteexs
    2016-05-10 22:01 - 2016-05-10 22:12 - 00000000 ____D C:\ProgramData\Quoteex
    2016-05-10 22:01 - 2016-05-10 22:01 - 06494208 _____ C:\Users\Domyślny\AppData\Roaming\agent.dat
    2016-05-10 22:01 - 2016-05-10 22:01 - 01626777 _____ C:\Users\Domyślny\AppData\Roaming\Hotcore.tst
    2016-05-10 22:01 - 2016-05-10 22:01 - 00948736 _____ C:\Users\Domyślny\AppData\Roaming\Rontex.exe
    2016-05-10 22:01 - 2016-05-10 22:01 - 00948736 _____ C:\Users\Domyślny\AppData\Roaming\Hotcore.exe
    2016-05-10 22:01 - 2016-05-10 22:01 - 00848437 _____ C:\Users\Domyślny\AppData\Roaming\ZamDonfax.bin
    2016-05-10 22:01 - 2016-05-10 22:01 - 00127488 _____ C:\Users\Domyślny\AppData\Roaming\Installer.dat
    2016-05-10 22:01 - 2016-05-10 22:01 - 00126464 _____ C:\Users\Domyślny\AppData\Roaming\noah.dat
    2016-05-10 22:01 - 2016-05-10 22:01 - 00126464 _____ C:\Users\Domyślny\AppData\Roaming\lobby.dat
    2016-05-10 22:01 - 2016-05-10 22:01 - 00072717 _____ C:\Users\Domyślny\AppData\Roaming\Rontex.tst
    2016-05-10 22:01 - 2016-05-10 22:01 - 00065568 _____ C:\Users\Domyślny\AppData\Roaming\Config.xml
    2016-05-10 22:01 - 2016-05-10 22:01 - 00054272 _____ C:\Users\Domyślny\AppData\Roaming\ApplicationHosting.dat
    2016-05-10 22:01 - 2016-05-10 22:01 - 00018432 _____ C:\Users\Domyślny\AppData\Roaming\Main.dat
    2016-05-10 22:01 - 2016-05-10 22:01 - 00015840 _____ C:\Users\Domyślny\AppData\Roaming\InstallationConfiguration.xml
    2016-05-10 22:01 - 2016-05-10 22:01 - 00005568 _____ C:\Users\Domyślny\AppData\Roaming\md.xml
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 11 Maj 2016 07:43
    Kolobos
    Spec od komputerów

    Zanim wykonasz skrypt to odinstaluj MPC, uruchom z prawami administratora plik C:\Program Files (x86)\MPC Cleaner\uninstall.exe

    Po wykonaniu wszystkiego zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 11 Maj 2016 09:38
    razorg
    Poziom 2  

    Safefinder był w Programach i funkcjach ale po wybraniu opcji odinstaluj nic się nie stało. Wykonałem naprawę tak jak mi poleciliście. MPC usunął się pomyślnie, safefinder dalej tkwi w przeglądarce. Dodatkowo po wszystkim przeskanowałem go jeszcze AdwCleanerem ale nie znalazł żadnych nieprawidłowości. Zamieszczam logi i proszę jeszcze o pomoc z tą wyszukiwarką. Z góry dziękuję.

    0
  • Pomocny post
    #5 11 Maj 2016 09:43
    Kolobos
    Spec od komputerów

    W ktorej przegladarce? Zresetuj ustawienia przegladarki do fabrycznych, jezeli nie pomoze to odinstaluj i usun katalog profilu przegladarki, nastepnie zainstaluj ponownie.

    Nowy Fixlist.txt dla FRST:
    2016-05-11 09:33 - 2016-05-11 09:34 - 00000000 ____D C:\AdwCleaner
    2016-05-10 23:05 - 2016-05-10 23:05 - 00002179 _____ C:\pcfiXtrayudtaj.lnk
    2016-05-10 22:16 - 2016-05-10 22:16 - 00000000 ____D C:\Users\Domyślny\AppData\Roaming\MCorp
    2016-05-10 22:02 - 2016-05-10 22:02 - 0032038 _____ () C:\Users\Domyślny\AppData\Roaming\uninstall_temp.ico

    0
  • #6 11 Maj 2016 09:55
    razorg
    Poziom 2  

    Safefinder siedział w Firefoxie. Zmiana ustawień pomogła. Wszystko działa już poprawnie. W prawdzie w programach i funkcjach dalej widać ten safefinder ale po zmianie domyślnej wyszukiwarki na google jest już ok. Zamieszczam log z naprawy. Jeśli według was jest ok to uważam problem za rozwiązany. Serdecznie dziękuję za pomoc.

    0
  • #7 11 Maj 2016 13:06
    RADU23
    Moderator - Komputery Serwis

    Usuń folder C:\FRST i to wszystko.
    MPC cleaner na win10, safefinder, nie da się go usunąć

    0